當(dāng)很多企業(yè)正苦惱于是否向公有云投出信任一票時,有些企業(yè)卻已經(jīng)開始從中受益匪淺。積極轉(zhuǎn)向公有云的企業(yè)并非不重視云安全的問題,只不過,他們已經(jīng)感受到云計算的收益大過于相應(yīng)的風(fēng)險。
這些企業(yè)IT領(lǐng)導(dǎo)者和那些躑躇不前者的不同之處在于,他們對于自己IT團隊和所在企業(yè)的優(yōu)勢和弱點有清醒的認(rèn)識。在某些情況下,公有云方案可以提供更高的安全性,并且有助于災(zāi)難恢復(fù)的實現(xiàn)。
美國高爾夫協(xié)會(USGA)就是一個典型的例子。盡管USGA是一個全國性的組織,但是總部卻不是在繁忙的都市。實際上,USGA的總部位于新澤西州名為Far Hills的一個小鎮(zhèn)—— 在其IT高級總監(jiān)Jessica Carroll的嘴里,那就是一個偏荒之地。從IT的角度看,這種地理位置對于災(zāi)難恢復(fù)來說是災(zāi)難性的。但是,Carroll對云方案供應(yīng)商的安全性非常滿意。
“我考察了他們(IBM)的環(huán)境,那是一個高度安全的地方。他們處理客戶數(shù)據(jù)的流程規(guī)范令人印象深刻。”Carroll說:“這些都是我親眼所見,正因為IBM所采取的措施和業(yè)界聲譽,我做出決定是非常容易的。”
Carroll向公有云的遷移并非是她第一次體驗云計算的安全和隱私性。在2006年USGA就采用了微軟的Live Meeting。通過訂閱費的形式,USGA可以實現(xiàn)按使用付費。“我不需要為保證隱私而費心,不需要構(gòu)建災(zāi)難恢復(fù)方案,也不需要擔(dān)心服務(wù)失效的問題。”Carroll說:“這種付費方式對我們非常適用,無須任何基礎(chǔ)架構(gòu)方面的投入。而我對數(shù)據(jù)安全也非常放心,它們在正確的地方受到妥善的保管。”
云安全風(fēng)險的差異性
在企業(yè)安全決策方面,Gartner公司分析師Jay Heiser提出了警告:不能盲目跟風(fēng),在邁向云計算的道路上必須頭腦清醒。
“任何客戶都不能毫不顧忌安全性方面的問題。”Heiser在一封郵件中說到:“這里面的問題很嚴(yán)重——基本上,沒有辦法能確定某個特定的外部服務(wù)商能夠提供足夠的安全性保證。”
“對于服務(wù)供應(yīng)商的保證,我覺得不僅不準(zhǔn)確,甚至有點負(fù)面——比如當(dāng)他們拍著客戶肩膀說,‘不要白費力氣了,你是無法保護自己的,把東西都放到?jīng)]有我這來吧,我會替你管好一切的。’時”Heiser描述到。
云計算的顧慮
Larry Bolick是Aquent LLC(位于馬薩諸塞波士頓)的CIO,他在云計算協(xié)作方案方面具有成功的經(jīng)驗,包括Google的Gmail和電話會議。但是,盡管對合同進行了嚴(yán)格地審查,安全性依然是Bolick的關(guān)注焦點。
“當(dāng)談到云計算時,這理所當(dāng)然是首先會想到的問題,因此,沒人能忽視云的安全性。”Bolick說。
然而,牢記歷史也是非常重要的。在不到15年前,托管其實就是當(dāng)時的公有云形式。但是在資源共享這個卓越創(chuàng)意的背后,其安全性以今天的標(biāo)準(zhǔn)來說是令人難以接受的,比如公司的名字和IP地址在服務(wù)器上公開可見。類似的教訓(xùn)不甚枚舉,而安全性也在不斷演進。
過去Google云存在的問題已經(jīng)不再是前進道路上的障礙,相反應(yīng)該將其視之為安全性方面的有益嘗試。Bolick認(rèn)為對于安全問題關(guān)注并非出自于恐懼,他堅信云安全其實是聯(lián)系企業(yè)和廠商的紐帶。真正的挑戰(zhàn)在于變更管理以及企業(yè)和廠商在安全實踐方面的溝通協(xié)調(diào)。
“這并非全是廠商的問題,客戶也有一定的責(zé)任。”Bolick表示:“我們在云環(huán)境里所做的主要是在傳輸時保證數(shù)據(jù)的保密和完整準(zhǔn)確,在自己的環(huán)境里,我們已經(jīng)在確保基礎(chǔ)架構(gòu)安全性方面費盡力氣。當(dāng)然,盡管很多工作會落在客戶一端,但是讓廠商充分意識到我們面臨的安全挑戰(zhàn)是非常必要的。”
無論CIO的工作如何細(xì)致謹(jǐn)慎,仍然無法保證萬無一失。在特定的時刻,你不得不寄信任于你的廠商和自己做出的決定。Bolick用坐飛機的例子來進行類比:雖然你不認(rèn)識飛行員或者機師,但是他們都有FAA(美國聯(lián)邦航空管理局)的認(rèn)證,你必須且只能給予充分的信任。
“很擔(dān)心嗎?沒必要的,這只是一個瑕疵而已。如果因為疏忽而導(dǎo)致了安全和隱私方面的事故,云服務(wù)供應(yīng)商就會感受到全面的連鎖反應(yīng)。”Bolick說:“因此服務(wù)供應(yīng)商將不得不盡力做到最好。從事安全性保障的工作人員盡管默默無聞,但是正因為他們的努力才使得一切都不脫離正軌。世上沒有100%的保證,你需要理智一點,畢竟有時候少許的風(fēng)險并不是壞事。”
京公網(wǎng)安備 11010502049343號